セキュリティ

SECURITY

公開：2024-09-10

【CVE-2024-7262】キングソフト株式会社がWPS Officeシリーズの深刻な脆弱性を公表、速やかなアップデートを推奨

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• WPS Officeシリーズにパストラバーサルの脆弱性
• 複数のWindows版製品が影響を受ける
• 任意のコード実行のリスクがある

キングソフト株式会社がWPS Officeシリーズの脆弱性を発表

キングソフト株式会社は2024年9月6日、同社のオフィス統合環境「WPS Office」シリーズのWindows版に深刻なパストラバーサルの脆弱性が存在することを公表した。この脆弱性は、WPS Office2 for Windows、WPS Cloud、WPS Cloud Pro、KINGSOFT PDF Proの各バージョン11.2.0.10693以前に影響を及ぼすものである。^[1]

パストラバーサルの脆弱性は、promecefpluginhost.exeによるファイルパス検証方法の不備に起因しており、CVE-2024-7262およびCVE-2024-7263として識別されている。この脆弱性を悪用されると、細工されたファイルに埋め込まれたリンクをクリックすることで、攻撃者がユーザーのWindowsシステム上で任意のコードを実行する可能性がある。

キングソフト株式会社は、この脆弱性に対処するため、影響を受ける製品の最新版へのアップデートを強く推奨している。また、Kingsoft Office Softwareが提供するWPS Officeにおいても同様の脆弱性が確認されており、その悪用が観測されているとの報告もある。ユーザーは速やかに製品をアップデートし、不審なファイルやリンクの取り扱いに十分注意を払う必要がある。

WPS Officeシリーズの脆弱性の影響範囲

パストラバーサルについて

パストラバーサルとは、ウェブアプリケーションやソフトウェアの脆弱性の一種で、攻撃者が意図しないディレクトリにアクセスできてしまう問題のことを指す。主な特徴として以下のような点が挙げられる。

• ファイルパスの検証不備を悪用する
• システムの重要なファイルにアクセス可能
• 機密情報の漏洩や改ざんのリスクがある

WPS Officeシリーズの脆弱性では、promecefpluginhost.exeのファイルパス検証の不備が原因となっている。この脆弱性を悪用されると、攻撃者は細工されたファイルを通じてユーザーのシステム上で任意のコードを実行できる可能性がある。そのため、ユーザーは速やかに最新版へのアップデートを行い、不審なファイルやリンクの開封には十分注意を払う必要がある。

WPS Officeシリーズの脆弱性に関する考察

キングソフト株式会社が迅速に脆弱性を公表し、対策を提供したことは評価できる点だ。しかし、広く利用されているオフィスソフトウェアにこのような深刻な脆弱性が存在していたことは、ユーザーのセキュリティリスクを高める要因となっていた。今後は、開発段階でのセキュリティ検証プロセスを強化し、このような脆弱性を事前に発見・修正することが求められるだろう。

一方で、この脆弱性の影響を受ける製品が複数存在することから、すべてのユーザーが速やかにアップデートを行うことは現実的に難しい可能性がある。企業や組織では、ITシステムの更新に時間がかかることも多く、その間のセキュリティリスクが懸念される。このような状況に対して、キングソフト株式会社は暫定的な対策や、脆弱性を悪用した攻撃の検知・防御方法についても情報提供を行うべきである。

今後、オフィスソフトウェアの開発においては、セキュリティを重視した設計と実装が不可欠となる。特に、ファイルの扱いやプラグインの実行に関しては、厳格な検証とサンドボックス化などの対策が必要だ。また、ユーザー側でも、定期的なソフトウェアのアップデートや、不審なファイルの取り扱いに関する教育を徹底することが、セキュリティリスクの軽減につながるだろう。

参考サイト

1. ^ JVN. 「JVN#32529796: 複数のキングソフト製品におけるパストラバーサルの脆弱性」. https://jvn.jp/jp/JVN32529796/, (参照 24-09-10).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧